简介:
领导通知,让我打十天攻防,前四天,平平无奇,两个权限,web系统都是外包的,没打进核心内网。
这次攻防,没有给靶标,也没有给资产,全靠自己进行信息搜集。
由于本人不会钓鱼,所以只能打打外网了。
前期信息搜集
信息搜集主要以厂商系统为主,通过使用fofa,云悉,查ICP备案,APP脱壳逆向,公众号接口,小程序,天眼查查母公司以及子公司的备案和资产信息。通过能直接获取到的资产信息,进行二次信息搜集,主要是以C段,B段和目录扫描为主。
第五天
测试网站的功能点,尝试黑盒找到漏洞,并想办法拿到权限。
第五天主要是以代码审计为主。
通过信息找到找到子公司的一个备案网站系统。
根据左上角的功能提示,发现网站存在登录和注册功能,因此尝试注册一个账号。
点击注册按钮,发现跳转到登录界面。很奇怪,貌似注册功能无法正常使用。
f12查看源码发现端倪,注册相关的实现代码已经被注释掉了。
因此将注释符号删除,并使用注册功能注册了账号
此时使用注册功能成功注册了一个账号
并登录成功。
寻找上传接口,尝试文件上传。但是发现功能点似乎无法正常使用。
f12抓取上传接口的数据包。
访问该接口,上传表单成功出现。
尝试上传正常图片,均不能正常使用。提示都是文件大小不符合。
尝试利用TP框架漏洞获取权限
尝试尝试寻找后台,也没有找到。
尝试寻找SQL注入,没有找到。
此时发现该网站系统使用了thinkphp框架,但是具体不知道是哪个版本。
常用于获取tp框架版本的方法都是利用报错或者敏感文件,但是这里,似乎都没有。
盲打一波tp5的rce,均失败。
此时陷入瓶颈期。
想到了,该系统一定是基于tp框架开发的,但是具体是哪个CMS这里还未知,使用云悉获取该CMS信息也失败了。
尝试利用cms的利用漏洞获取网站权限和数据
此时无意间发现,上传接口的title中,泄露了该CMS信息,该cms为pigcms。
此时搜索有关该CMS的历史漏洞,通过cnvd平台。
尝试利用SQL注入漏洞,复现后均失败。
寻找CMS源码
注:此处找到的源码版本不一定会和目标站点一致。
尝试去寻找源码。官网看了一眼,真的贵。离谱。怎么可能花钱。
通过网盘搜索,百度搜索,谷歌搜索的方式,下载了源码。
本地环境搭建。
看着还挺像那么回事的。
确定后台路径。
本机后台
目标站点后台。
这后台长的不怎么像,影响不大。
试了一下初始密码,没进去。
看了一下后台,注入漏洞挺多的,有tp3.1的注入,也有pigcms的注入,也能文件上传GETSHELL,也能模板注入GETSHELL。
白加黑代码审计
前台任意文件上传GETSHELL
试了一下常规的未授权测试方法,均失败,因此只能考虑审计出前台漏洞了。这里用自己之前写的一个工具,遍历当前目录下指定后缀的文件路径。
将路径文件字典导入burpsuite的intruter模块的payload中,并去掉payload encoding前面的勾。
开始爆破。并根据response判断哪些文件是未授权访问的。
此时成功找到了未授权的入口文件。
并发现了两处关于文件上传的函数。
action_picUpload
1 | public function action_picUpload(){ |
action_picUpload的逻辑是,上传的图片文件时,name=thumb,content-type的值为switch选择结构中的image/jpg时,指定上传后,文件的后缀名ext是jpg。文件名的命名是随机的,根据时间指定。
读懂逻辑后发现,此处的action_picUpload是无法上传文件获取权限的。
继续审计第二次上传的函数。
action_flashUpload
阅读第二个上传函数的逻辑发现,当name的值是filepath,并且content-type的值是flash格式时,能够上传成功,上传后的后缀名是由filename的文件名后缀来确定的。
构造文件上传的poc数据包
发现上传成功,回显php文件路径。
查看本地监听的文件路径生成情况,并确定php文件的最后路径。
访问后,phpinfo被成功执行。
尝试上传到目标站点,并上传成功。
此时跟队友分享喜悦,并准备周一打内网。
由于和裁判沟通后,裁判要求,漏洞尽量要周一交。(意思是周末不攻防)
并得知提交0day漏洞是有额外加分。
蓝队周末居然上班
等到周六后,下午访问一下phpinfo看看。结果发现,蓝队居然上班了。phpinfo的页面内容变成了hack.
页面不是phpinfo?重新上传一下,好家伙,不讲武德,裁判都说休战了,你居然给我搞事情。
这是之前已经成功执行的截图。
离谱的一批。
继续审计
数据导出+可能的任意文件写入漏洞。
周日,开始重新审计。现在审计的思路主要是想办法拿到数据,并进入后台改配置,这样只要网站不关闭,我就有的是办法做webshell层面的权限维持,后面再做系统层面的权限维持。
1 | private function export_database($tables,$sqlcompat,$sqlcharset,$sizelimit,$action,$fileid,$random,$tableid,$startfrom) { |
通过阅读此处的代码逻辑,发现指定数据表名称,即可导出数据。
找到该sql文件路径。
前端访问并下载成功。
可以通过此方法,拿到后台管理员账号密码。
继续审计发现,此处的导出时,文件名可控。
此时可以发现,可能可以截断后缀。
尝试截断,并成功。
尴尬的是,文件内容并没有写入。
查了相关资料后发现。
用冒号截断的确会这样,但是用windows文件流截断,文件也并没有生成。这就很麻烦了。
此处也没有想到比较好的方法去绕过。
就暂时放着了。
下午的时候尝试去下一下数据表的文件,结果发了几个数据包。
蓝队直接将admin.php这个入口文件给删了。牛逼牛逼。
跟队友说了一下情况。
晚上准备写博客。
准备打开目标站点截几个图。
结果发现,蓝队直接给你关站了。笑死。
一片红,笑死我了,和队友吐槽大无语事件。
等周一明天举报了。
